在需要身份驗證的前端應(yīng)用里，我們經(jīng)常想通過用戶角色來決定哪些內(nèi)容可見。比如，游客身份可以閱讀文章，但注冊用戶或管理員才能看到編輯按鈕。

田家庵網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián),田家庵網(wǎng)站設(shè)計制作，有大型網(wǎng)站制作公司豐富經(jīng)驗。已為田家庵上1000+提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)營銷網(wǎng)站建設(shè)要多少錢，請找那個售后服務(wù)好的田家庵做網(wǎng)站的公司定做！

在前端中管理權(quán)限可能會有點麻煩。你之前可能寫過這樣的代碼：

if (user.type === ADMIN || user.auth && post.owner === user.id ) {
 ...
}

作為代替方案，一個簡潔輕量的庫——CASL——可以讓管理用戶權(quán)限變得非常簡單。只要你用CASL定義了權(quán)限，并設(shè)置了當前用戶，就可以把上面的代碼改為這樣：

if (abilities.can('update', 'Post')) {
 ...
}

在這篇文章里，我會展示如何在前端應(yīng)用里使用Vue.js和CASL來管理權(quán)限。

CASL 速成課程

CASL可以讓你定義一系列規(guī)則來限制哪些資源對用戶可見。

比如，CASL規(guī)則能夠標明用戶可以對給定的資源和實例（帖子、文章、評論等）進行哪些CRUD（Create, Read, Update和Delete）操作。

假設(shè)我們有分類廣告網(wǎng)站。最顯而易見的規(guī)則就是：

游客可以瀏覽所有帖子

管理員可以瀏覽所有帖子，并且可以更新或刪除

使用CASL，我們用AbilityBuilder來定義規(guī)則。調(diào)用can來定義一條新規(guī)則。例如：

onst { AbilityBuilder } = require('casl');

export function(type) {
 AbilityBuilder.define(can => {
  switch(type) {
   case 'guest':
    can('read', 'Post');
    break;
   case 'admin':
    can('read', 'Post');
    can(['update', 'delete'], 'Post');
    break;
   // Add more roles here
  }
 }
};

現(xiàn)在，就可以用定義的規(guī)則來檢查應(yīng)用權(quán)限了。

import defineAbilitiesFor from './abilities';

let currentUser = {
 id: 999,
 name: "Julie"
 type: "registered",
};

let abilities = defineAbilitiesFor(currentUser.type);

Vue.component({
 template: `<div><div>
       <div>Please log in</div>
      `,
 props: [ 'post' ],
 computed: {
  showPost() {
   return abilities.can('read', 'Post');
  }
 }
});

Demo 課程

作為演示，我做了一個用來展示分類廣告帖子的服務(wù)器/客戶端應(yīng)用。這個應(yīng)用的規(guī)則是：用戶能夠閱讀帖子或發(fā)帖，但是只能更新或刪除自己的帖子。

我用Vue.js和CASL來方便地運行和擴展這些規(guī)則，即使以后添加新的操作或?qū)嵗矊⒑芊奖恪?/p>

現(xiàn)在我就帶你一步步搭建這個應(yīng)用。如果你想一睹為快，請戳這個Github repo。

定義用戶權(quán)限

我們在 resources/ability.js中定義用戶權(quán)限。CASL的一個優(yōu)點是與環(huán)境無關(guān)，也就是說它既能在Node中運行，也能在瀏覽器中運行。

我們會把權(quán)限定義寫到一個CommonJS模塊里來保證Node的兼容性（Webpack能讓這個模塊用在客戶端）。

resources/ability.js

const casl = require('casl');

module.exports = function defineAbilitiesFor(user) {
 return casl.AbilityBuilder.define(
  { subjectName: item => item.type },
  can => {
   can(['read', 'create'], 'Post');
   can(['update', 'delete'], 'Post', { user: user });
  }
 );
};

下面我們來剖析這段代碼。

define方法的第二個參數(shù)，我們通過調(diào)用can來定義了權(quán)限規(guī)則。這個方法的第一個參數(shù)是你要允許的CRUD操作，第二個是資源或?qū)嵗谶@個例子中是Post。

注意第二個can的調(diào)用，我們傳了一個對象作為第三個參數(shù)。這個對象是用來測試user屬性是否匹配我們提供的user對象。如果我們不這么做，那不光創(chuàng)建者可以刪帖，誰都可以隨便刪了。

resources/ability.js

...
casl.AbilityBuilder.define(
 ...
 can => {
  can(['read', 'create'], 'Post');
  can(['update', 'delete'], 'Post', { user: user });
 }
);

CASL檢查實例來分配權(quán)限時，需要知道實例的type。一種解決方式是把具有subjectName方法的對象，作為define方法的第一個參數(shù)，subjectName方法會返回實例的類型。

我們通過在實例中返回type來達成目的。我們需要保證，在定義Post對象時，這個屬性是存在的。

resources/ability.js

...
casl.AbilityBuilder.define(
 { subjectName: item => item.type },
 ...
);

最后，我們把我們的權(quán)限定義封裝到一個函數(shù)里，這樣我們就可以在需要測試權(quán)限的時候直接傳進一個user對象。在下面的函數(shù)中會更易理解。

resources/ability.js

const casl = require('casl');

module.exports = function defineAbilitiesFor(user) {
 ...
};

Vue 中的訪問權(quán)限規(guī)則

現(xiàn)在我們想在前端應(yīng)用中檢查一個對象中，用戶具有哪些CRUD權(quán)限。我們需要在Vue組件中訪問CASL規(guī)則。這是方法：

引入Vue和 abilities plugin。這個插件會把CASL加到Vue的原型上，這樣我們就能在組件內(nèi)調(diào)用了。

在Vue 應(yīng)用內(nèi)引入我們的規(guī)則（例： resources/abilities.js）。

定義當前用戶。實戰(zhàn)中，我們是通過服務(wù)器來獲取用戶數(shù)據(jù)的，在這個例子中，我們簡單地硬編碼到到項目里。

牢記，abilities模塊export一個函數(shù)，我們把它稱為defineAbilitiesFor。我們會向這個函數(shù)傳入用戶對象。現(xiàn)在，無論何時，我們可以通過檢測一個對象來得出當前用戶擁有何種權(quán)限。

添加abilities插件，這樣我們就可以在組件中像這樣來進行測試了：this.$can(...)。

src/main.js

import Vue from 'vue';
import abilitiesPlugin from './ability-plugin';

const defineAbilitiesFor = require('../resources/ability');
let user = { id: 1, name: 'George' };
let ability = defineAbilitiesFor(user.id);
Vue.use(abilitiesPlugin, ability);

Post 實例

我們的應(yīng)用會使用分類廣告的帖子。這些表述帖子的對象會從數(shù)據(jù)庫中檢索，然后被服務(wù)器傳給前端。比如：

我們的Post實例中有兩個屬性是必須的：

type屬性。CASL會使用 abilities.js中的subjectName回調(diào)來檢查正在測試的是哪種實例。

user屬性。這是發(fā)帖者。記住，用戶只能更新和刪除他們發(fā)布的帖子。在 main.js中我們通過defineAbilitiesFor(user.id)已經(jīng)告訴了CASL當前用戶是誰。CASL要做的就是檢查用戶的ID和user屬性是否匹配。

let posts = [
 {
  type: 'Post',
  user: 1,
  content: '1 used cat, good condition'
 },
 {
  type: 'Post',
  user: 2,
  content: 'Second-hand bathroom wallpaper'
 }
];

這兩個post對象中，ID為1的George，擁有第一個帖子的更新刪除權(quán)限，但沒有第二個的。

在對象中測試用戶權(quán)限

帖子通過Post組件在應(yīng)用中展示。先看一下代碼，下面我會講解：

src/components/Post.vue

<template>
 <div>
  <div>

   <br /><small>posted by </small>
  </div>
  <button @click="del">Delete</button>
 </div>
</template>
<script> import axios from 'axios';

 export default {
  props: ['post', 'username'],
  methods: {
   del() {
    if (this.$can('delete', this.post)) {
     ...
    } else {
     this.$emit('err', 'Only the owner of a post can delete it!');
    }
   }
  }
 } </script>
<style lang="scss">...</style>

點擊Delete按鈕，捕獲到點擊事件，會調(diào)用del處理函數(shù)。

我們通過this.$can('delete', post)來使用CASL檢查當前用戶是否具有操作權(quán)限。如果有權(quán)限，就進一步操作，如果沒有，就給出錯誤提示“只有發(fā)布者可以刪除！”

服務(wù)器端測試

在真實項目里，用戶在前端刪除后，我們會通過 Ajax發(fā)送刪除指令到接口，比如：

src/components/Post.vue

if (this.$can('delete', post)) {
 axios.get(`/delete/${post.id}`, ).then(res => {
  ...
 });
}

服務(wù)器不應(yīng)信任客戶端的CRUD操作，那我們把CASL測試邏輯放到服務(wù)器：

server.js

app.get("/delete/:id", (req, res) => {
 let postId = parseInt(req.params.id);
 let post = posts.find(post => post.id === postId);
 if (ability.can('delete', post)) {
  posts = posts.filter(cur => cur !== post);
  res.json({ success: true });
 } else {
  res.json({ success: false });
 }
});

CASL是同構(gòu)（isomorphic）的，服務(wù)器上的ability對象就可以從abilities.js中引入，這樣我們就不必復(fù)制任何代碼了！

封裝

此時，在簡單的Vue應(yīng)用里，我們就有非常好的方式管理用戶權(quán)限了。

我認為this.$can('delete', post) 比下面這樣優(yōu)雅得多：

if (user.id === post.user && post.type === 'Post') {
 ...
}

網(wǎng)站名稱：詳解VueJS應(yīng)用中管理用戶權(quán)限
轉(zhuǎn)載源于：http://vcdvsql.cn/article36/jhgcsg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供搜索引擎優(yōu)化、ChatGPT、動態(tài)網(wǎng)站、網(wǎng)站營銷、企業(yè)網(wǎng)站制作、定制開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)